HELSINKI (Nettavisen): Conficker-ormen er nærmest unntaket som bekrefter regelen om at nettkriminelle klarer å holde sine skadelige programmer utenfor media søkelys. Å holde seg utenfor overskriftene er svært viktig, da det betyr at de får drive med sin aktivitet i fred.
- Det er et mål å unngå å få oppmerksomhet, så derfor lager de ofte sine virus slik at de bare infiserer noen få tusen datamaskiner. Dermed blir ikke hver enkelt ting stor nok til at massemedia tar tak i det, og en får jobbe i fred, forteller forskningssjef Mikko Hyppönen i sikkerhetsselskapet F-secure.
Les også den første delen av vårt møte med Hyppönen:
Ett eksempel skremmer
Han forstår tanken, og langt på vei også hvorfor media ikke omtaler mange småting som likevel til sammen blir et stort problem. Men det finnes ett unntak.
- Mebroot er den mest avanserte formen for skadelig programvare vi noensinne har funnet, men det er ingen som skriver eller snakker om det, sier han oppgitt.
- Da vi oppdaget det så var antall infeksjoner så lavt at vi var overbevist om at det var laget av noen som ikke hadde kunnskaper eller ressurser til å få til noe stort, men det viste seg at vi tok grundig feil.
Klarer å skjule spionvare helt
Mebroot er et såkalt rootkit. Mange husker kanskje «rootkit-skandalen» rundt Sony for en stund tilbake, der selskapet infiserte et ukjent antall tusener datamaskiner verden over med et rootkit i et forsøk på å hindre piratkopiering.
Kort sagt er et rootkit et program som ligger skjult dypt inni datamaskinen på en slik måte at det ofte er umulig for både annen programvare og ikke minst brukeren av datamaskinen at det er installert. I en slik posisjon kan programmet gjøre nøyaktig hva det ønsker på datamaskinen, og det er svært vanskelig å bli kvitt.
Sprer seg på store nettsider
- Mebroot sprer seg ved å infisere store nettsider med masse trafikk, og brukerne smittes ved såkalte «drive-by-downloads». Det betyr at brukeren blir infisert bare ved å gå til en nettside, uten å trykke på noe spesielt. I praksis betyr det at hackerne legger inn kode på nettsidene som leter etter et enormt antall kjente sikkerhetshull i operativsystemet ditt, nettleseren din og tilleggsprogrammer som Flash, Acrobat, QuickTime og lignende, sier Hyppönen.
Slik fungerer «drive-by-downloads»
Saken fortsetter under videovinduet!
Det virkelige interessante skjer derimot først når det først finner et sikkerhetshull. Mebroot installerer seg ikke bare på selve harddisken, slik vanlige virus gjør. Derimot infiserer den såkalte «master boot record» av harddisken, som er et lite område på harddisken som inneholder svært grunnleggende informasjon om blant annet hva som skjer når datamaskinen startes opp.
Ligger «under» Windows
Måten Mebroot fungerer på er at fremfor at viruset kjører på Windows, så kjører litt forenklet forklart Windows på viruset.
- I praksis så kan Mebroot installere seg på datamaskinen din uten at det gjøres noen endringer med filene på harddisken, og dermed er det svært vanskelig å oppdage for antivirusprogramvaren, forteller han.
Kjører selv om Windows krasjer
- Mebroot ligger så dypt begravet at hvis det skjer en feil med det, så får Windows blåskjerm og krasjer. Men det spennende her er at selv om Windows krasjer, så er Mebroot fortsatt funksjonell. Og utviklerne har vært så flinke at de da gjennomfører en såkalt «minnedump» som blir sendt tilbake til dem for analyse, slik at de kan se hva som gitt galt og dermed forbedre Mebroot i fremtiden.
Men det er først når utviklerne av Mebroot kombinerer dette rootkitet sammen med annen skadelig programvare at ting virkelig begynner å bli komplisert. Et rootkit er i seg selv ikke skadelig, men brukes for å skjule annen programvare, og som regel kombineres Mebroot med et svært potent spionvareprogram.
Manipulerer nettbanken din
- Phishing blir mindre og mindre effektivt. For det første har folk blitt mer forsiktige med å gi fra seg sensitive opplysninger, og i tillegg har nettbankene blitt mye sikrere med engangskoder og SMS-bekreftelser. Det gjør at det for bakmennene er ganske verdiløst å få et brukernavn og passord til en nettbank, for de må fortsatt ha engangskoder, påpeker Hyppönen.
- Og det er her Mebroot kommer inn i bildet. I stedet for å stjele brukernavn og passord, hjelper Mebroot spionprogramvare til å holde seg skjult i bakgrunnen og bare vente på at du skal logge inn i nettbanken. Det er først når du logger inn at Mebroot slår til og begynner å modifiserer ting. Den kan for eksempel endre kontonummeret som regningene du legger inn skal bli betalt til. Dette skjer i bakgrunnen, og på skjermen ser alt riktig ut for brukeren, og den kan til og med endre informasjonen på bekreftelsesskjermen. Dermed oppdager du ikke at pengene er borte før papirutskriften kommer i posten, forteller Hyppönen.
Legger inn ekstra betalinger
Og det er ikke nok med at den kan endre de betalingene du gjør.
- Den kan også endre hvor mye penger du betaler på en regning, og verst av alt er at den kan gjennomføre egne transaksjoner i bakgrunnen som du ikke ser. Legger du inn for eksempel fire betalinger, så kan det på egen hånd legge inn en ekstra betaling som tømmer kontoen din. Du vil bare se fire av transaksjonene, mens den overføringen Mebroot sørget for vil du ikke se på skjermen. Selv svært teknisk dyktige personer vil ikke oppdage at det er noe galt når dette skjer, forteller Hyppönen.
- Mebroot bryr seg ikke om passordet ditt eller andre ting, de bare endrer på de tingene du gjør. Offisielt vil mange banker hevde at dette problemet finnes ikke, for da har de et stort PR-problem, slår han fast.
Titusenvis er infisert
Den siste versjonen av Mebroot ble oppdaget for over et år siden, men lever fortsatt i beste velgående, mye på grunn av at det er så vanskelig å oppdage. Programvaren er programmert til å utnytte rundt 100 forskjellige nettbanker i Europa.
- Jeg har ikke det oppdaterte tallet på antall infeksjoner, men bare i Europa er det snakk om titusenvis av datamaskiner som i dette øyeblikket er infisert, forteller han.
Og det vanskelige for sikkerhetsselskapene er at Mebroot ikke bare kan fjernes på 1-2-3.
- Programvaret vår oppdager Mebroot, men kan ikke fjerne det selv. Det er spesielt laget for å kjempe mot tradisjonelle måter å fjerne «master boot record»-problemer på, og kjemper aktivt mot antivirusprogrammer. Oppdages Mebroot må du laste ned en egen fil og starte opp datamaskinen ved hjelp av denne på for eksempel en minnepinne eller CD. For de som ikke er veldig teknisk dyktige anbefaler vi at maskinen leveres til reparasjon, slår Hyppönen fast.